甲方与三方渗透团队的协作注意点

于 2023-11-15 22:05:15 发布
阅读量202 收藏
点赞数
分类专栏: 实践 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/134430511
版权

文章目录


以下是优化后的内容:

作为甲方安全团队主导的渗透攻击,以下几点需要注意:

  1. 预备充分
    与测试团队协调,提供乙方攻击所需的必要资源,以及具有甲方特色的资源。例如,如果认为自己的权限系统需要重点评估,那么应该在乙方需要账号资源时提供具有结构关系的账号体系以供乙方进行充分测试。
  2. 调和开发团队对渗透攻击的抵触心理
    渗透评估工作本身就属于寻找潜在问题的行为。对于中高危漏洞,更是需要紧急处理的优先级。因此,我们需要与开发团队主管进行沟通,理解漏洞的风险现状,并倾听他们的排期建议,以便推动安全风险封堵和安全建设工作的顺利进行。
  3. 在乙方渗透报告出来后,阐明安全愿景并推动开发安全提升工作
    第三方安全渗透是多个发现漏洞的渠道之一。与优秀的第三方合作伙伴合作可以获得更多关于漏洞复现描述、技术沟通和复测环节的服务。有漏洞并不可怕,可怕的是无法修复。因此,我们应该尽快对风险点进行理解和初步分类,这是一个协作的过程。
    将漏洞初步分类后,独立推送给各主管,并提供标准疑惑收集和排期表,同步对核心漏洞进行理解工作,最后进行登记汇总。

下图展示了一个中型团队的简略处理过程:
甲方与三方渗透团队的协作

dalerkd
关注
专栏目录
软件测试认知
Maggie97的博客
10-28 580
什么是测试? 工厂内部生产出产品后是需要质检人员检测的,经检测合格后才会在产品的包装处贴上质检合格的标签,如果质检不合格就属于废品。只有合格的产品才会流入市场供给用户去使用。测试就是对产品进行检验的过程。 什么是软件测试? 软件测试就是针对软件产品进行人工或者自动检测的过程。 什么是软件? 软件是具有特定功能的程序代码和数据以及文档的组合。 软件测试的对象是:程序代码、数据、文档 软件从无到有产生的过程 软件从无到有的过程可以分为几个阶段,整个过程叫做软件的生命周期 需求调研——挖掘市场对
网站项目管理规范指南
热门推荐
xyrrwcom的专栏
03-25 6万+
1. 概述  关于本指南的目的,大纲描述。1.1 什么是网站项目管理规范指南  《网站项目管理规范指南》读做“网站-项目管理-规范-指南”,顾名思义就是针对网站项目管理,提供规范管理的建议和指导。之所以称作“指南”,是因为我们的规范不是标准,标准是由国家制定的。我们只是将我们认为最好的管理办法推荐给您,供您参考。我们希望您本指南能够带给您切实的工作上的帮助!1.2 编写目的 我们编写网站项目管理规
[信息系统项目管理师-2023备考]信息化与信息系统(二)
tsfx051435adsl的博客
12-03 1868
2023年软考备考
系统集成项目管理工程师笔记
gly1653810310的博客
10-26 2万+
目录依据第二版教程
企业如何快速落地sdl
Shanfenglan's blog
02-19 1318
文章目录1. SDL1.2 安全实践1. 提供安全培训DevSecOps 1. SDL 中文名软件开发生命周期,微软提出的一个软件安全开发的流程,其核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动与规范,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用。 1.2 安全实践 所有类型产品在研发过程中必须实现的行为。 1. 提供安全
内部推荐岗位信息201508
Albert_Soldier的专栏
10-15 4234
海康威视内部推荐岗位信息 201508期 海康威视官方招聘 微信二维码 海康威视官方招聘 微博二维码 千里马常有,而伯乐不常有 公司内部推荐再次来袭! 研发、销售、供应链、职能岗位…… 全部欢迎推荐! 同学、朋友、老乡、前同事…… 快快帮忙投简历! 具体岗位信息见下方
2021爱分析・区域性银行数字化厂商全景报告
爱分析ifenxi
12-02 1万+
报告编委 报告指导人 张 扬 爱分析联合创始人&首席分析师 报告执笔人 孙文瑞 爱分析高级分析师 李 娜 爱分析分析师 戴 甜 爱分析分析师 目录 研究范围定义 全场景地图 场景定义与厂商解读 入选厂商列表 1. 研究范围定义 研究范围 随着金融监管的加强与金融规范的完善,以及受国有大行、股份制银行、互联网银行和外资银行的挤压,区域性银行面临着“不变则衰”的发展困局。 本次银行数字化厂商全景报告的研究范围为大中型区域性银行,即经营范围限定在某一区域(多为省、市、县、乡),资.
2021爱分析·时尚品牌数字化厂商全景报告
爱分析ifenxi
12-22 1734
《2021爱分析·时尚品牌数字化厂商全景报告》正式发布!
8w 字,给程序员的职场第一课(上篇)
GitChat
07-07 1万+
本文适合正处在大学阶段,准备毕业以及已经毕业的朋友,对于职场选择,成长方向感兴趣的相关人士。 学完此课程,你能够明白你的学习方向,技巧,以及提前知道职场需要怎么突围,成长,提升,为自己突围职场,制定自己的计划。 同时,文章里面给出了一些我的职场经历,希望能够让大家对程序员这个圈子有所深入理解。总计 30 讲,这一篇是上篇,目录清单: 前言:关于职场,你需要不断拼搏 大学最重要的 8 件事 大公司...
ERP项目实施过程中的甲方团队组织.pdf
07-28
ERP项目实施过程中的甲方团队组织.pdf
渗透测试授权书》.doc
12-09
渗透测试授权书》是甲乙双方在进行渗透测试前签订的重要法律文件,它规定了双方在测试过程中的权利和责任,确保测试的合法性和安全性。渗透测试是一种模拟黑客攻击的技术手段,用于评估计算机网络、系统和应用程序...
基于Kali-Linux渗透测试方法的研究与设计.pdf
09-06
基于Kali-Linux渗透测试方法的研究与设计 本文主要研究了基于Kali-Linux渗透测试方法的设计和实现,旨在提高渗透测试的效率和能力。渗透测试是一种在获得用户或甲方单位授权的情况下,对用户信息系统或目标系统实施...
IT项目管理中甲方关注的检查
最新发布
08-14
甲方视角的关注
FreeNAS 无法创建存储池的解决方案
KD的疯狂实验室
07-20 9443
FreeNAS 如果要创建插件,需要先建立一个Pool. 如图: No data to display. 为什么没有硬盘可以选择.我也是百思不得其解. 但最终猜测其NAS系统的Jails需要多个盘:或者多个分区. 就解决了. 解决方案: 加一个硬盘即可 推测原因是: NAS系统需要另一个硬盘来处理插件数据 等. 我的是VMWare虚拟机 所以添加一个新的虚拟盘即可.这里就会显示出硬盘来了. ...
如何准确预估项目完成时间
KD的疯狂实验室
06-04 6647
预测总是一个难题,当项目经理顶着上级期限式需求时,常常询问自己的程序员一个纠结的问题:”何时能完成?”或者”最晚什么时候能完成?”程序员们往往哑口
Java代码转C++代码的几小经验
KD的疯狂实验室
12-04 5340
C++ 和 Java太像了,其实翻译起来 还挺爽快,但有些小坑 知道了可能更好
实践:将现有Vue项目迁移成TypeScript 遇到的骚错误.md
KD的疯狂实验室
07-31 5058
因工作需要,将现有Vue项目中的JS向TS做了迁移,在这个过程中碰到不少坑. 就顺带做了笔记.查找资料过程中发现相关错误描述与解决的 中文资料很少.所以在这里分享给大家. 其中涉及比较有意思的是:"对象和接口类型的传递"错误,这也是非常耗费我时间的一个错误.
手动编译链接一个HelloWorld
KD的疯狂实验室
06-01 3438
集成开发环境让我们对程序的调试编译链接都变得如何轻松.作为一名极客怎会止步于这种表象?你或许听说过”编译”“链接”这种最熟悉的生僻词.编译和链接到底是怎么完成的?今天我们来动手链接一个自己的程序:1寻找”cl”编译器你需要一个编译器,什么?没有?如果你安装了集成开发环境的话,编译器已经自动被安装到了你计算机中.不信?搜索cl.exe 看找到了吧.打开它们所在的位置,用命令行工具在windows
甲方信息化建设策略与最佳实践
甲方与乙方的合作中,乙方的角色包括理解并记录甲方的业务流程,提供咨询服务,设计并开发符合需求的系统,协助数据录入等。如果甲方的业务流程不成熟,乙方可能需要提供更多的业务能力提升方案,甚至改变开发策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值